2019年07月
7iDのパスワード変更容易性が致命的な脆弱【7pay不正利用】
7pay の不正利用が問題になっています。
最大の原因は、パスワードを簡単に変更できる仕様だった、ことだと思われます。
7payクレジットカード不正利用:第三者乗っ取りがあり得る致命的な2つの弱点
コード決済の7payは、スマートフォンのセブンイレブンアプリの中の機能の一つとして実装されています。
7pay を利用するためには、7iDとの紐付けをおこないます。
7iD とは、7&i が運営するショッピングモールであるオムニ7のアカウントにもなっています。
この 7iDのパスワード変更が、以前より容易におこなえる状態であったのです。
パスワードの再設定は、あらかじめ登録した生年月日とメールアドレスがわかっている場合に簡単にできました。
再設定の際には、別のメールアドレスへ通知させることが可能でした。
7iD のパスワードをいくら難しくしていたとしても、7iDの持ち主が気がつかない間に、パスワードを再設定することが可能でした。
この記事を作成する時点で確認した所、パスワード再設定を通知するメールアドレス入力欄は表示されていません。
しかし、開発者ツールを使うと入力欄を復活させることができ、パスワード再設定までおこなえる状態に変わりはない、との指摘があります。
https://www.omni7.jp/account/OP_OSD0013_001.do?mmbrRgstType=4
追記2019/7/4 19:25
2019年7月4日14:00から、7pay不正利用に関して、セブン&アイによる会見がおこなわれました。
テレ東news のYouTubeチャンネルに、アーカイブ動画がありますので、リンクしておきます。
最大の原因は、パスワードを簡単に変更できる仕様だった、ことだと思われます。
7payクレジットカード不正利用:第三者乗っ取りがあり得る致命的な2つの弱点
コード決済の7payは、スマートフォンのセブンイレブンアプリの中の機能の一つとして実装されています。
7pay を利用するためには、7iDとの紐付けをおこないます。
7iD とは、7&i が運営するショッピングモールであるオムニ7のアカウントにもなっています。
この 7iDのパスワード変更が、以前より容易におこなえる状態であったのです。
パスワードの再設定は、あらかじめ登録した生年月日とメールアドレスがわかっている場合に簡単にできました。
再設定の際には、別のメールアドレスへ通知させることが可能でした。
7iD のパスワードをいくら難しくしていたとしても、7iDの持ち主が気がつかない間に、パスワードを再設定することが可能でした。
この記事を作成する時点で確認した所、パスワード再設定を通知するメールアドレス入力欄は表示されていません。
しかし、開発者ツールを使うと入力欄を復活させることができ、パスワード再設定までおこなえる状態に変わりはない、との指摘があります。
https://www.omni7.jp/account/OP_OSD0013_001.do?mmbrRgstType=4
追記2019/7/4 19:25
2019年7月4日14:00から、7pay不正利用に関して、セブン&アイによる会見がおこなわれました。
テレ東news のYouTubeチャンネルに、アーカイブ動画がありますので、リンクしておきます。
足に合わせるの大変だったサンダル
三菱UFJデビットの年会費が無料化
三菱UFJデビットの年会費が無料になります。
三菱UFJ銀行の公式ウェブサイトによると、2019年7月1日から2020年6月30日までの期間に、新規でデビットカードを申し込むと、年会費(1080円)が無料になります。
デビットカードの有効期間は発行から5年間となります。
VISA または JCB からブランドを選択することができます。
年会費の無料期間はその後も継続されるかもしれないとも触れられています。
5年後に年会費が発生する場合は事前に通知されるとのことです。
詳細は三菱UFJ銀行公式ウェブサイトをご参照ください。
三菱UFJ銀行の公式ウェブサイトによると、2019年7月1日から2020年6月30日までの期間に、新規でデビットカードを申し込むと、年会費(1080円)が無料になります。
デビットカードの有効期間は発行から5年間となります。
VISA または JCB からブランドを選択することができます。
年会費の無料期間はその後も継続されるかもしれないとも触れられています。
5年後に年会費が発生する場合は事前に通知されるとのことです。
詳細は三菱UFJ銀行公式ウェブサイトをご参照ください。